Přejít k obsahu | Přejít k hlavnímu menu

Varování: rozesílání malwarových e-mailů, které zneužívají identitu Masarykovy univerzity

Kyberbezpečnostní tým Masarykovy univerzity varuje před opakovanou vlnou phishingových útoků, které využívají fiktivního odesílatele pro rozesílání malwarových souborů.

3. 8. 2023 Varování

Bez popisku

O co jde?

Ve středu 2. srpna různé organizace napříč ČR obdržely e-mail s předmětem Žádost o cenovou nabídku: MUNI//2308-02CZ a malwarem v příloze. Útočník se v e-mailu vydává za Tomáše Podolce, údajného „Manažera nákupu MUNI“. Tato osoba ale ve skutečnosti na Masarykově univerzitě (MU) vůbec neexistuje; hlavičky e-mailu jsou podvržené a e-mail je odesílán ze serverů ve Vietnamu. Nejedná se tedy o kompromitovaný účet či zařízení na MU.

Jak podvrhování hlaviček e-mailu funguje a jak ho rozpoznat se můžete dočíst v našem článku zde: https://security.muni.cz/clanky/e-mailove-hlavicky

Jak tento phishing vypadá?

Útočník v podvodných e-mailech využívá několik technik pro navození důvěryhodnosti e-mailu a vyvolání pocitu potřeby urgentní reakce v příjemci e-mailu:

  • Podvržené hlavičky odesílatele odkazují na Masarykovu univerzitu.
  • Patička zprávy obsahuje kontakty univerzity a její logo. Zde útočník využil veřejně dostupné informace z webu MU pro navození důvěryhodnosti zprávy.
  • Patička zprávy dále obsahuje falešnou informaci o kontrole antivirem ESET, která má vyvolat zdání, že je příloha v pořádku.
  • Text zprávy je psán česky a je velmi jednoduchý, aby co nejrychleji vybídl k akci – otevření přílohy.
  • Zpráva má nastavenou vysokou důležitost, aby se příjemci v mailovém klientu zvýraznila.

Ukázku podvodného e-mailu si můžete prohlédnout na obrázku níže. V příloze e-mailu je přiložen malware – tzv. trojský kůň z rodiny, kterou výrobci různých antivirů označují třeba Makoob, GULoader nebo Nekark. Ten má za cíl získat kontrolu nad počítačem oběti a útočníkovi tak umožnit další škodlivou aktivitu. Útočník zde pouze změnil příponu spustitelného souboru pro Windows před vložením do přílohy z .exe na .pdf.rar, čímž se zřejmě snažil obejít automatizované spam filtry mailových serverů.

Bez popisku

Nejedná se o první takový útok

Téměř stejná vlna malwarových e-mailů byla rozeslána již v pondělí 17. července se stejným předmětem Žádost o cenovou nabídku: MUNI//2307-17CZ. Jelikož jsou tyto e-maily rozesílány z externích mailových serverů, je velmi obtížné jejich rozesílání zamezit. Ve zkratce platí, že nejlepší obranou je vzdělaný uživatel, který podvodnou zprávu rozezná a nenechá se nachytat.

Jak se tedy nenechat zmanipulovat a na co si dávat pozor?

Phishingové e-maily jsou psané tak, aby na první pohled co nejvíce souvisely s pracovním zaměřením příjemce. To může vzbuzovat tendenci je rozkliknout a následně podniknout další akce dle pokynů ve zprávě (například otevřít přílohu s malware). Jejich zákeřnost spočívá také v tom, že se snadno zamaskují mezi ostatními pracovními zprávami.

V případě, že podobnou zprávu obdržíte, držte se několika pravidel:

  1. Na e-mail neodpovídejte.
  2. Neklikejte na odkazy, které obsahuje.
  3. Neotvírejte přílohu e-mailu.
  4. Nahlaste jej našemu týmu (a ideálně zašlete i hlavičku daného e-mailu).

Samozřejmostí by měl být také aktuální software vašeho počítače a především antivirus, který by měl takovýto typ útoku rozpoznat a malware z přílohy bezpečně odstranit.

Více článků

Přehled všech článků

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.